La propriété dans les nuages ou lorsque le droit se saisit du Cloud
1. La propriété
dans les
nuages
ou lorsque le droit se saisit
du Cloud
Michèle Battisti
Cloud Gate. Galerie de Graig S
. Flickr CC by-nc-nd
ADBS – Paralipomènes - IABD Congrès I-Expo : 14 juin 2012
2. 2
Pour maîtriser ses données
dans le Cloud
Se poser quelques questions ?
Le Cloud
1. Une révolution ?
2. Quelles menaces ?
3. Quelles précautions ?
3. 3
Illustr. La liberté guidant le peuple. Eugène Delacroix
.Wikimédia Commons.
1. Une révolution ?
4. ,
Le Cloud incontournable et omniprésent
4
Amazon était pionnier
Vers un web 4.0, un web de plus en plus intelligent lorsqu’il proposait en 2002
et sophistiqué s’appuyant sur le Cloud de louer des espaces de
stockage sur ses serveurs,
ceux-ci n’étant réellement
/ utilisés que pendant une
Un recours au Cloud qui se généralise partie de l’année, liés à des
Vu récemment pics de consommation
• Amazon crée un service de Cloud d’écoute musical où
Aujourd’hui tout le
l’internaute est invité à stocker la musique qu’il a achetée
• le cloud gaming, un « système de papillonnage vidéoludique » monde a entendu parler
du Cloud Computing
Du web 2.0 au web 4.0 en passant par le web 3.0 : où en sommes‐nous ?
Mehdi Zemmama, Cap Gemini Consulting, 30 novembre 2010.
Petite histoire du cloud computing, Thibaut de Jaegher, L'Usine Nouvelle ,
n° 3283, 28 avril 2012
Head in the Cloud and Flow. Picto Synthesis. CC by-nc
5. Le Cloud incontournable et omniprésent
5
Avec les revues électroniques,
Louer est tendance
aujourd’hui avec les livres électroniques,
on a appris que l’on ne louait qu’un accès temporaire à des
informations et/ou à des oeuvres
Depuis quelques années, en fonction de nos besoins, on peut louer
des espaces de stockage pour nos propres données ; on peut
louer diverses applications informatiques pour les traiter, voire des données …
Nos ordinateurs tendent à se borner à « se brancher en mode terminal »
Le support disparaît ? Oui, mais pas pour tout le monde I love Solidays. Damien Roué .
Toutes ces données sont entreposées dans des serveurs Fotopeida. CC by-nc
gigantesques, souvent localisés dans des pays lointains, En octobre 2009, l’infrastructure en
et sont amenées à circuler périodiquement nuage d’Amazon représentait 40 000
dans le monde, ce qui représente serveurs répartis dans plusieurs sites
une première source de problème juridique dans le monde
6. Le Cloud Une révolution technique ?
6
Un nouveau moyen
de consommer l’informatique
Externaliser en fonction de ses besoins, des services
informatiques qui nécessitent d'importantes capacités de
calcul ou de stockage auprès de n'importe quel serveur
disponible appartenant à un réseau de serveurs connectés à
l'internet
Illustr. An exhaust cloud engulfs Launch Pad 39A
Le Cloud : facilité d’usage, fourniture à la at NASA’s Kennedy Space Centre in Florida as space shuttle Endeavour l
demande, prix calculé selon la consommation, … ift). NASA/Sandra Joseph and Kevin O’Connell. 2010.
. Bénéficier d’économies d’échelle
Public Domain Wikimédia Commons
comme un banal branchement
« tous ceux qui en ont tâté à un réseau électrique
ne reviendront pas en arrière »
Partager des ressources
informatiques distribuées sur
Le Cloud computing, évolution internet : le résultat d’une
ou révolution ? Paralipomènes, 25/09/10 évolution de plusieurs
techniques arrivées à maturité
7. Le Cloud Une révolution technique ?
7
Un peu de jargon
Du Cloud public … le plus naturel
Mais aussi
du Cloud privé (rien que pour soi)
du Cloud hybride (privé/public)
du Cloud communautaire (par « affinités »)
Iaas Infrastructure as a service
Paas Platform as a service
Saas Software as a service
3 couches de services Des données
qui voyagent Etang du Méjean. Photos de F. Moreno,
SaaS, PaaS, IaaS, Cloud : définitions,
François Daniel Giezendanner, SMS, SPIP, 10 mars 2010
constamment CC by-nc-nd
autour du monde pour répondre à la
nécessité de refroidir les serveurs
8. Le Cloud Une révolution contractuelle?
8
Contrat de Cloud
Les points clefs
Les données personnelles et la confidentialité (la question la plus sensible)
La sécurité des données (où se trouvent-elles ? et le souci de transparence)
La réversibilité et l’interopérabilité pour pouvoir se retirer du Cloud
Les garanties en cas de perte de données ( .. clashs informatiques de tous ordres)
La fixation du prix (critère déclenchant le paiement : mois ? nombre de
personnes ? transaction ?)
Le droit applicable en cas de litige (sans traité international, une question
complexe), …
Un contrat qui ressemble fort
à une banale externalisation
des données ou contrat d’infogérance
Le Cloud computing, une révolution
contractuelle ? Paralipomènes, 24/10/10
9. Le Cloud Une révolution contractuelle?
9
De l’outsourcing classique
Le buzz autour du Cloud lui donne ne dimension
psychologique particulière
La tentation de la personnalisation au risque de perdre les bénéfices
(économiques) du Cloud et de rendre la réversibilité et l’interopérabilité délicate
Des données très mobiles. Comment le mettre en œuvre un audit « lorsque les
données sont au Pôle nord ? »
Des contrats d’adhésion (petits comptes ou individus) Non négociables ; pas
d’avenant mais un simple courriel d’acceptation quand un service est modifié et une
durée volontairement courte au terme de laquelle « on adhère ou on sort »
Pour les entreprises, généralement ,
des licences à négocier
L’angle abordé aujourd’hui
10. Le Cloud Une révolution contractuelle?
10
PRAGMATISME
Le Cloud un révélateur de Cloud : de l’informatique à consommer
tendance vers une offre standardisée
travers du passé
qui étonne et inquiète car il s’agit de données
L’occasion de simplifier la rédaction de mais serait l’approche la plus pertinente
contrats d’outsourcing qui contiennent
des « SLA farfelues » PERSONNALISATION
des plans d’assurance qualité se traduisant articuler Cloud public et Cloud privé mais
par des « pavés incompréhensibles » aux non perdre les bénéfices en termes de coûts, des
juristes mais où l’essentiel est absent souplesse et d’adaptabilité
des plans de sécurité avec des « mesures
alambiquées » qui ne seront jamais mises en
œuvre, etc …
Le client face aujourd’hui à « du pas très sec »
Des juristes très Fin 2010 Donner une réponse rapide, un accompagnement avec un dialogue
en amont sur le soutenu entre juristes et techniciens risque : confusion entre les aspects
Cloud juridiques et techniques
un cadre contractuel non stabilisé, avec des clauses adaptables et réversibles, et des
solutions hybrides donnant une large place au feed-back
11. 11
Windows to the sun. Jacob Ion.
Fotocommunity. CC by-nc-nd
2. Quelles menaces ?
12. Le Cloud Quelles menaces ?
12
Court-on plus de risques
que dans une banale externalisation
informatique
dans un système non mutualisé
sur un serveur dédié ?
Qu’en est-il
Approaching Asperatus Cloud. BJ Bumgarner
Flickr By-nc-sa
de la sécurité des données ?
du cas, très sensible, des données personnelles ?
de la réversibilité ?
13. 13
La sécurité des données
Disponibilité, intégrité, confidentialité
14. Le Cloud Sécurité
14
dans un Cloud ouvert aux 4 vents ?
La disponibilité
Le Cloud démultiplie les supports physiques
d’une même machine virtuelle
un problème … et l’on change de machine
.
Un Cloud élastique Illustr. Nuages de vent. Solea 20. CC 2.0 by-nc-sa. Flickr
une adaptation immédiate à toute situation
une augmentation instantanée de la
puissance d’une machine virtuelle, sans Paradoxe !
devoir l’arrêter, comme dans un Le Cloud donne des
hébergement informatique classique garanties très fortes
15. Le Cloud Sécurité
15
dans un Cloud ouvert aux 4 vents ?
L’intégrité et la confidentialité Une perte de maîtrise
Risques lorsque le prestataire a potentiellement accès à nos Un matériel que l’on ne peut plus
espaces de stockage, ou lorsque les accès du prestataire sont contrôler, des logiciels imposés qui
« compromis » empêchent certaines mesures de sécurité
des masters mal sécurisés, voire
Risques techniques
compromis car présentant des portes
Partage des ressources de la machine physique pour plusieurs
dérobées
machines virtuelles liées entre elles par un hyperviseur : une
communication accidentelle entre machines virtuelles en raison Se fier à un faux sentiment de
de problèmes liés à l’isolation du stockage, de la mémoire, sécurité donné par le marketing du
des processeurs ou encore du réseau. prestataire
Un type de faille rare et des attaques
complexes Aucune garantie sur
l’effacement des données
Risques liés à l’interface de gestion des services (en fonctionnement normal ou en
(manière dont on gère ses comptes dans le Cloud). Des failles fin de contrat) sur tous les supports
dans les outils d’authentification qui se traduisent par la existants
suppression de serveurs ou de services, des vols de données ou des
transferts de services Plus risqué, plus complexe
16. Le Cloud Sécurité
16
dans un Cloud ouvert aux 4 vents ?
Certifications invalides ou impossibles
Le prestataire doit autoriser un audit de certification sur ses équipements
MAIS
Comment organiser un test d’intrusion en raison du principe de territorialité pour les
huissiers et des difficultés liées à l’intégrité d’une copie d’une mise en ligne sur internet
Que se passe-t-il si, pour établir un constat les autres machines virtuelles de clients sont arrêtées ?
Si, lors de son constat, l’huissier « prend tout » ? ’
La fuite de données se constate a posteriori
L’alerte ne s’applique qu’à des données ou à des faits
préalablement définis
Des outils de sécurisation rarement déployés, par ignorance ou
en raison de leurs coûts
Un travail dans l’urgence qui s’avère être la raison
majeure des problèmes de sécurité rencontrés
18. Le Cloud Données personnelles
18
La question la plus sensible Des données qui circulent
Une question essentielle à régler et qu’on peine à localiser
Qui est responsable du traitement ?
Une chaîne de responsabilité entre
le responsable du traitement qui dispose des moyens du traitement
et en définit la finalité
son sous‐traitant avec qui il signe un contrat
Un prestataire qui dispose de marges de manœuvres
Google, par exemple, impose à des petites entreprises des conditions
non négociables, sans se percevoir comme responsable d’un traitement
Un faisceau d’indices pour déterminer le degré de responsabilité de
chaque acteur à partir de plusieurs critères :
• le niveau des instructions données
• le niveau de contrôle de l’exécution des prestations
• la transparence
• l’expertise
19. Le Cloud Données personnelles
19
la loi « Informatique et Libertés » ne
s’applique qu’aux responsables du traitement
résidant sur le territoire français ou lorsque le
traitement est effectué sur le sol français.
Les données circulant, divers droits sont
susceptibles de s’appliquer dans les territoires
qui émaillent leur pérégrination dans le
monde
Des faisceaux d’indices pour déterminer si le
responsable des moyens de traitement entend
viser un public français
Un lien suffisant, substantiel ou
significatif entre le service proposé et le client
pour définir que l’on s’adresse à un public
français et que la loi applicable sera française
Landscape –Photo. This photo
is licensed under a CC by-nc-nd License.
20. Le Cloud Données personnelles
20
Transfert de données Des instruments inadaptés
hors de l’Union européenne
Les clauses contractuelles qui conduisent à
Il sont interdits sauf si le niveau créer une « toile » d’araignée » de
de protection est jugé adéquat contrats, ne donnent aucune sécurité.
On n’est jamais certain qu’un contrat soit
Autorisés s’ils sont encadrés par des clauses signé pour chaque transfert, et elles
contractuelles type reconnues par la Commission deviennent très vite obsolètes
européenne
- dans le cadre du Safe Harbor qui lie la LeSafe Harbor n’offre de garantie qu’aux grosses
Commission européenne et la Federal Trade entreprises,
Commmision aux États-Unis Les BCR ne créent de zones de sécurité qu’au
- des Binding Corporate Rules (BCR), codes de sein d’un groupe ou lorsque ils sont adoptés par
bonne conduite définis au sein d’une entreprise toutes les entreprises sous-traitantes
Des exceptions inadaptées : La CNIL en fait une
- dans les quelques cas exceptionnels interprétation restrictive ; elles ne concernent que
mentionnés dans la loi «Informatique et Libertés » des transferts ponctuels d’un petit nombre de
données
21. Le Cloud Données personnelles
21
Prochainement
Un Règlement européen relatif à la protection des
personnes physiques à l'égard du traitement
des données à caractère personnel et à la libre circulation
de ces données. Projet diffusé le 25 janvier 2012
21
Les défis à relever
t
- la qualification juridique du prestataire de Cloud
- l’encadrement des transferts de données personnelles hors de l’Union européenne
L’Europe et les données personnelles au prisme
du Cloud, Paralipomènes, 24 février 2012
23. Le Cloud En sortir
23
Réversibilité
revenir à une situation ou une
organisation intérieure .
Éviter une situation
de blocage
sans possibilité de
retour ; éviter
d’être lié à un
prestataire unique Sortir non pour revenir mais pour aller ailleurs
Favoriser le passage d’un prestataire à un autre
Obliger un prestataire à s’entendre avec un autre prestataire,
Même, voire surtout, s’il s’agit d’un concurrent
Sortir du cloud ou de la réversibilité et de
l’interopérabilité Paralipomènes , mars 2011
24. Le Cloud En sortir
24
Un préalable : l’interopérabilité
« capacité que possède un produit ou un système
dont les interfaces sont intégralement connues à
fonctionner avec d’autres produits ou systèmes
existants ou futurs (Wikipédia)
Des normes pour favoriser l’interopérabilité ?
Rappel : une norme est une assurance sur les moyens Unicode Yi Syllables. asvensson on Flickr; CC by-,c
mis en œuvre pour garantir la sécurité et non sur un
résultat
Normes : des gardes fous comme les contrats-types ? Cloud computing : une norme ISO en préparation,
Pour régler la question ou pour la compliquer ? L’Usine nouvelle, mars 2012
25. 25
NX0864 : Caution Large Waves.
Andy Farrington CC by-sa
3. Quelles précautions ?
26. Le Cloud Et sécurité
26
Une assurance ?
Elle ne règle que les conséquences des problèmes rencontrés
Des clauses ad hoc dans le contrat
Le client peut exiger une transparence sur les tiers,
mais doit s’assurer de la fiabilité du service proposé
par le prestataire
Dans un contrat B2B : exiger de connaître les composantes
du service que l’on achète, pour répondre à une obligation
de sécurité des données personnelles où des assurances fortes
Cloud over a mountain public domain image picture in gallery
doivent être données Mountain is in public domain.
Les prestataires peuvent se faire certifier Un client souvent plus exigeant
Ce n’est pas toujours jugé suffisant et des preuves sur pour autrui
la manière d’assurer la sécurité des données doivent que pour lui-même
Être également exigées par le client
Se focaliser sur ce qui
est important ou risqué
27. Le Cloud Et réversibilité
27
Une clause de réversibilité
accompagnée d’un plan de réversibilité
détaillé dans ses annexes
A noter
Les difficultés varient selon l’endroit du cloud (Paas, Iaas, Saas)
où l’on se trouve
plus grandes dans le cadre du Paas, celui des
plateformes de développement étant le marché Rain clouds seen from Märket. Taivasalla. CC by-nc-sa
permettant de contrôler plus facilement le client,
moindres dans le cadre du Saas, celui des logiciels
Être vigilant sur les outils, les normes et les standards utilisés par le fournisseur
permettant d’assurer l’interopérabilité, et contrôler les processus mis en œuvre par celui-ci pour
garantir à tout moment la réversibilité
Difficulté à définir les techniques et leur coût, notamment parce qu’il est difficile d’anticiper
les évolutions techniques et économiques rapides qui agitent ce marché émergent pour les
entreprises (contexte BtoB)
28. Le Cloud L’Open Cloud
28
Ouvrir le nuage
Pour garder la maîtrise de SAVOIR PLUS
son système d’information (*)
Cloud computing + Open Source
Caractéristiques
- Ouverture du code et des formats utilisés
Vidéo Solution de gestion de
- Reproductibilité des services offerts l’information en Saas et Cloud.
- Interopérabilité entre les données et les applications Vidéo sur le site de l’ADBS
- Transparence des contrats de service et du prestataire …
L’Open Cloud : garder la maîtrise
de son système d’information,
Documentaliste-Sciences de
l’information, 2/2012
29. Le Cloud Un défi passionnant
Un défi
29
Le Cloud, un avatar de l’industrie informatique, une
simple évolution
Mais de banales questions liées à l’externalisation de
services informatiques qui se présentent à une échelle
inédite, élargissant le cercle des personnes concernées
au sein d’une entreprise, mais aussi à l’ensemble des
internautes.
Une chaîne contractuelle complexe Le Cloud, souvent
révélateur
Pour les juristes, un travail en amont pour construire
Des contrats type, aider les opérationnels à répondre
d’anciennes
aux questions des clients, les aider à se poser lacunes !
les « bonnes » questions
Et un couple contrat/assurance : une chaîne de l’assurabilité
llustr. An exhaust cloud engulfs Launch Pad 39A at NASA’s Kennedy Space Centre
in Florida as space shuttle Endeavour lift). NASA/Sandra Joseph and Kevin O’Connell. 2010. Démystifier les aspects juridiques du Cloud
Public Domain Wikimédia Commons Computing, Paralipomènes, 4 novembre 2012
30. Le Cloud Un défi passionnant
30
Le temps du juriste et le temps informatique
des temps différents
Glissement du champ des anticipations
Non anticiper ses besoins en ressources
informatiques
avec le Cloud elles sont disponibles à tout moment et en tout lieu
Low Key running hourglas
Mais anticiper dans le domaine juridique o by Tijs Zwinkels112. Flickr CC by-sa
pour ne pas devoir accepter un contrat d’adhésion dans l’urgence
31. Le Cloud Un défi passionnant
Un travail en amont
« Faire le ménage » dans ses données
Définir les données réellement sensibles et celles qui
doivent rester en France pour répondre à des
obligations légales;
Les données qui pourront entrer dans le Cloud et celles
pour lesquelles d’autres formes de stockage doivent
être envisagées
Documenter les procédures adoptées pour
assurer la sécurité des données, Illu str. Banksy street art, Chalk farm.
une obligation souvent négligée par les entreprises Scottroberts.CC by-nc-nd. Flickr Découvrir
Mener une réflexion sur ce dont
Risque : Frilosité et ne pas
l’entreprise a besoin et les risques
réellement encourus bénéficier des avantages
du Cloud
32. 32
Remerciements aux animateurs
d’un atelier de l’ADIJ consacré au Cloud Cmputing
• Mme Helle Jul-Hansen, VP et Assistant General Counsel VMWare EMEA
• Me Béatrice Delmas-Linel, avocate au Barreau de Paris, associée du cabinet de Gaulle
Fleurance et associés
• M. David Feldman, dirigeant du cabinet de conseil DFConsulting
Blog de l’Atelier Cloud Computing
Un atelier pour :
cerner le concept de cloud computing,
évaluer l’impact contractuel de cette pratique,
mettre l’accent sur les données personnelles, la sécurité, la réversibilité et l’interopérabilité ainsi que
sur les assurances,
présenter l’évolution de la question en novembre 2011 depuis la première réunion, en septembre
2010
reprendre la question des données personnelles, après la diffusion, le 25 janvier 2012, d’un projet de
règlement européen sur les données personnelles (1) (2)
Liens vers les comptes rendus sur le
blog Paralipomènes.
33. 33
Autres sources consultées
Cloud computing et contrats informatiques : du nouveau ou du bruit ? Jean-Michel Pasotti,
Entreprise, Internet & Droits de la personne, 23 janvier 2011
Les aspects juridiques du Cloud Computing (ppt) , Alexandre Nappey, Slideshare, 23
novembre 2011
Les points clés des contrats de Cloud Computing, Benjamin Jacob, Legavox, 19 janvier 2011
Le cloud computing : pour y voir plus clair dans la nébulosité juridique , Cabinet Feral-Shuhl /
Sainte-Marie, Archimag, juillet-août 2010
Le Cloud computing, un mode d'exploitation risqué? Des réponses contractuelles, Actualités
du droit de l’information (ADI), septembre 2009
34. 34
Des questions ?
FLE.Poser une question.
Marion Chareau.
CC 2.0 by‐nc‐nd.Flickr